SlideShare a Scribd company logo

GDPR 2018 - Il nuovo Regolamento Privacy Europeo

M2 Informatica
M2 Informatica

Nuovo Regolamento Europeo per il trattamento dei Dati Personali: che cosa cambia e come prepararsi al 25 maggio 2018.

1 of 44
Download to read offline
Federica Savio GDPR Il nuovo Regolamento Privacy Europeo Che cosa cambia e come prepararsi al 25 maggio 2018
GDPR – Regolamento UE 2016/679 • Entrato in vigore il 24 maggio 2016 • Direttamente applicabile in tutti i Paesi Membri dal 25 Maggio 2018 • Abroga la direttiva 95/46/CE recepita in Italia dal D.Lgs. 196/2003 Qual è il destino del Codice della Privacy e dei Provvedimenti del Garante della Privacy?
GDPR – Finalità • Rispondere alle sfide in materia di protezione dei dati personali poste da evoluzione tecnologica e dallo sviluppo dell’economia digitale • Assicurare la tutela dei diritti delle persone fisiche nei Paesi Membri • Realizzare la libera circolazione dei dati personali nell’ UE
GDPR – ambito di applicazione materiale Trattamenti interamente o parzialmente automatizzati di dati personali o trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi Esclusioni: • Trattamenti effettuati da persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Trattamenti effettuati dalle autorità competenti nel perseguimento di reati
GDPR – ambito di applicazione territoriale Trattamenti effettuati nell’ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile stabilito nell’UE, indipendentemente dal fatto che il trattamento sia effettuato nell’UE Trattamenti di dati personali di interessati che si trovano nell’UE effettuati da parte di un titolare o responsabile non stabilito nell’UE se le attività riguardano: • Offerta di beni o servizi a interessati che si trovano nell’UE • Monitoraggio di comportamenti di interessati che abbiano luogo nell’UE
I 3 pilastri del GDPR 1 - ACCOUNTABILITY GDPR 3 – VALUTAZIONE DEL RISCHIO 2 – VALUTAZIONE D’IMPATTO Necessità di aggiornare l’intero sistema aziendale di governo dei dati
ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
ACCOUNTABILITY DA FORMA A SOSTANZA • Attuazione principi protezione dei dati «by design» (dalla progettazione) , «by default» (come impostazione predefinita) e trasparenza • Scelta e verifica conformità dei Responsabili • Valutazioni di impatto sulla protezione dei dati • Attenzione a condizioni di adeguatezza per il trasferimento dei dati verso paesi terzi
Valutazione di impatto (DPIA) Richiesta dal Regolamento quando un trattamento, in particolare se prevede l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, diventa strumento per garantire il rispetto del principio di accountability, poiché anche non necessità di DPIA va giustificata per iscritto. Linee Guida WP29, criteri di riferimento DPIA probabilmente necessaria • Valutazioni della persona e profilazione • Decisioni automatizzate con effetti giuridici significativi (es. esclusione benefici) • Attività di monitoraggio sistematico (es. sorveglianza sistematica in area pubblica) • Dati sensibili o di natura estremamente personale (opinioni politiche, condanne penali, cartelle cliniche) • Trattamento di dati su larga scala • Combinazione o raffronto di insiemi di dati (es. dati trattati da titolari distinti) • Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, pazienti) • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche (es. riconoscimento del volto) • Quei trattamenti che impediscono agli interessati di esercitare un diritto (es. screening clienti banca per accesso a finanziamento)
GDPR – cosa cambia • Nuovi principi - accountability, trasparenza, privacy by design, by default… • Nuove figure – Data Protection Officer (DPO), Rappresentante • Nuovi diritti – diritto di accesso ai dati e rettifica degli stessi, limitazione o opposizione al trattamento, diritto all’oblio, diritto alla portabilità dei dati e diritto al risarcimento
GDPR – DPO Il Data Protection Officer ha il compito di analizzare, valutare e disciplinare la gestione del trattamento. Punto di contatto per interessato e autorità di controllo. Requisiti: approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e procedure che caratterizzano lo specifico settore di riferimento. Dipendente o risorsa esterna, riferisce direttamente al vertice gerarchico, riceve risorse necessarie, no istruzioni per l’esecuzione dei compiti, no conflitto di interesse. La nomina è obbligatoria: - Trattamento effettuato da autorità pubblica o organismo pubblico - Trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala - Trattamento su larga scala di categorie particolari di dati (sensibili, genetici, biometrici o giudiziari)
GDPR – cosa cambia – qualche esempio INFORMATIVA • Coincisa, trasparente (conservazione dati, nuovi diritti per gli interessati) e facilmente accessibile • All’ottenimento dei dati personali e comunque al massimo entro 1 mese, possibilmente in formato elettronico • Contenuti: dati di contatto Titolare, DPO; finalità e base giuridica del trattamento; legittimi interessi perseguiti; eventuali destinatari dei dati personali; trasferimenti a un paese terzo
GDPR – cosa cambia – qualche esempio CONSENSO • Libero • Informato • Esplicito • Espresso mediante dichiarazione o azione inequivocabile • Dimostrabile • Chiaramente distinguibile • Revocabile • Non condizionabile MINORI – offerta diretta di servizi della società dell’informazione - 16 anni
GDPR – cosa cambia – qualche esempio REGISTRI DEL TRATTAMENTO Obbligatori per imprese o organizzazioni con più di 250 dipendenti, il Garante raccomanda a tutti i Titolari di dotarsene LEGITTIMO INTERESSE Base giuridica del trattamento dei dati, anche senza consenso, purché bilanciati diritti titolare e interessato -> valutazione a carico del Titolare Esempi: marketing diretto, verifica dell’età, conservazione mail, ripresa per fini sicurezza in casi grave pericolo
GDPR – Sanzioni Fino a 10,000,000 € o fino al 2%fatturato mondiale annuo se sup - Violazione obblighi del titolare o del responsabile del trattamento Fino a 20,000,000 € o fino al 4%fatturato mondiale annuo se sup - Violazione dei principi, comprese condizioni relative al consenso - Violazione diritti degli interessati - Trasferimento dati non a norma in un paese terzo - Inosservanza di un ordine dell’autorità di controllo
GDPR – Cosa fare per adeguarsi?
GDPR – cosa fare per adeguarsi GDPR
GDPR – cosa fare per adeguarsi Raccolta di informazioni – sullo stato di adeguamento rif. Al Codice e al Regolamento Privacy, tipo di attività, strumenti aziendali, sistema informatico… Stesura del piano privacy – obiettivi, fasi, tempi, responsabilità, budget e approvazione delle funzioni deputate Interviste approfondite e analisi dei documenti – per poter svolgere le fasi successive di adeguamento al Regolamento e implementazione del sistema privacy Analisi del contesto, delle esigenze , dei rischi e delle misure in essere o da implementare
GDPR – cosa fare per adeguarsi Adeguamento al GDPR e implementazione del sistema di gestione della privacy – stesura di documenti, modelli, regolamenti e procedure; condivisione con le risorse aziendali e successiva applicazione Adeguamento del sistema informatico – implementazione dei sistemi per arginare i rischi Formazione del personale – corsi collettivi o specialistici anche in base alle attività da gestire Gestione operativa – il sistema viene avviato
GDPR – cosa fare per adeguarsi Verifiche o Audit dei processi aziendali Dopo un adeguato lasso di tempo, avente come criterio l’applicazione del GDPR e il sistema privacy implementato
GDPR – cosa fare per adeguarsi Mantenimento e miglioramento del sistema Adeguamento alle variazioni normative Proseguimento e continuità delle attività di audit e di formazione
GDPR – un modello adatto a tutti? GDPR SI, ma… - modello standard adatto ad aziende e studi professionali con trattamenti di dati più semplificati - modello personalizzato, con approccio progettuale Aziende con trattamento dati e attività a rischio, realtà più complesse, DPO….
Giorgio Montù GDPR Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari
2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
Alcuni dei principali attacchi a livello globale 2016 -2017
Alcuni dei principali attacchi a livello globale 2016 -2017
Alcuni dei principali attacchi a livello globale 2016 -2017 Attacchi a qualcuno che conosciamo bene
Alcuni dei principali attacchi a livello globale 2016 -2017 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
Alcuni dei principali attacchi a livello globale 2016 -2017
Più vicino a noi: UNICREDIT Alcuni dei principali attacchi a livello globale 2016 -2017
Ancora più vicino: MAN IN THE MAIL Alcuni dei principali attacchi a livello globale 2016 -2017 Da Striscia la Notizia: http://www.striscialanotizia.mediaset.it/video/man-in-the-email_23253.shtml
In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala …………
D.Lgs. 196/2003 – ancora in vigore Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio datiò - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
Misure minime di sicurezza Cosa succede dal 25 maggio 2018? Il Garante italiano deve ancora fornire linee guida relative all’applicazione delle misure di sicurezza ed eventualmente introdurre nuove misure minime di sicurezza, o mantenere le attuali… Cambierà certamente la modalità di applicazione…
ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non piu’ utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica

Recommended

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
 
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Simone Chiarelli
 
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Polizia giudiziaria
Polizia giudiziariaPolizia giudiziaria
Polizia giudiziaria
i6dxa
 

Recommended

GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
 
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Lezione n. 11 (2 ore) - La responsabilità nella PA: i reati della e contro la...
Simone Chiarelli
 
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Procedimento amministrativo e L. 241/1990 - 9 giugno 2016
Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Polizia giudiziaria
Polizia giudiziariaPolizia giudiziaria
Polizia giudiziaria
i6dxa
 
D. lgs 81 08
D. lgs 81 08D. lgs 81 08
D. lgs 81 08Ettore Rossi
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro Dario
 
Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13
Simone Chiarelli
 
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Simone Chiarelli
 
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Simone Chiarelli
 
D.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabiliD.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabili
Corrado Cigaina
 
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Luciano Cassese
 
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Simone Chiarelli
 
Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019
Simone Chiarelli
 
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Simone Chiarelli
 
la formazione dei lavoratori
la formazione dei lavoratorila formazione dei lavoratori
la formazione dei lavoratori
Corrado Cigaina
 
Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13
Simone Chiarelli
 
la formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavorola formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavoro
Corrado Cigaina
 
Preposto
PrepostoPreposto
PrepostoConfimpresa
 
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Simone Chiarelli
 
La Pubblica Amministrazione
La Pubblica AmministrazioneLa Pubblica Amministrazione
La Pubblica AmministrazioneGiovanni Tammaro
 
SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018
Simone Chiarelli
 
Formazione generale lavoratori
Formazione generale lavoratoriFormazione generale lavoratori
Formazione generale lavoratori
Zenone Iapovitti
 
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Simone Chiarelli
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
M2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 

More Related Content

What's hot

GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro Dario
 
Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13
Simone Chiarelli
 
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Simone Chiarelli
 
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Simone Chiarelli
 
D.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabiliD.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabili
Corrado Cigaina
 
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Luciano Cassese
 
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Simone Chiarelli
 
Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019
Simone Chiarelli
 
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Simone Chiarelli
 
la formazione dei lavoratori
la formazione dei lavoratorila formazione dei lavoratori
la formazione dei lavoratori
Corrado Cigaina
 
Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13
Simone Chiarelli
 
la formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavorola formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavoro
Corrado Cigaina
 
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Simone Chiarelli
 
La Pubblica Amministrazione
La Pubblica AmministrazioneLa Pubblica Amministrazione
La Pubblica AmministrazioneGiovanni Tammaro
 
SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018
Simone Chiarelli
 
Formazione generale lavoratori
Formazione generale lavoratoriFormazione generale lavoratori
Formazione generale lavoratori
Zenone Iapovitti
 
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Simone Chiarelli
 

What's hot (20)

D. lgs 81 08
D. lgs 81 08D. lgs 81 08
D. lgs 81 08
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro La vigilanza nei luoghi di lavoro
La vigilanza nei luoghi di lavoro
 
Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13Corso di preparazione ai concorsi - Lezione 11 di 13
Corso di preparazione ai concorsi - Lezione 11 di 13
 
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
Lezione n. 07 - Diritto degli Enti Locali e TUEL: La disciplina del Comune fr...
 
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
Lezione n. 09 (2 ore) - Codice degli appalti: disciplina generale, tipologia ...
 
D.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabiliD.lgs 81/08 , i soggetti responsabili
D.lgs 81/08 , i soggetti responsabili
 
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
Sicurezza sui luoghi di lavoro ; D.Lgs. n° 81/2008
 
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
Lezione n. 03 (2 ore) - Elementi di diritto amministrativo: situazioni giurid...
 
Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019Organizzazione degli Enti Locali - 8 gennaio 2019
Organizzazione degli Enti Locali - 8 gennaio 2019
 
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
Lezione n. 08 - La disciplina del pubblico impiego: La normativa sul lavoro a...
 
la formazione dei lavoratori
la formazione dei lavoratorila formazione dei lavoratori
la formazione dei lavoratori
 
Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13Corso di preparazione ai concorsi - Lezione 08 di 13
Corso di preparazione ai concorsi - Lezione 08 di 13
 
la formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavorola formazione abilitante l'uso delle attrezzature di lavoro
la formazione abilitante l'uso delle attrezzature di lavoro
 
Preposto
PrepostoPreposto
Preposto
 
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
Lezione n.01 - Diritto costituzionale: Ordinamento istituzionale della Repubb...
 
La Pubblica Amministrazione
La Pubblica AmministrazioneLa Pubblica Amministrazione
La Pubblica Amministrazione
 
SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018SCIA e L. 241/1990 - 10 ottobre 2018
SCIA e L. 241/1990 - 10 ottobre 2018
 
Formazione generale lavoratori
Formazione generale lavoratoriFormazione generale lavoratori
Formazione generale lavoratori
 
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
Lezione 1 - La disciplina degli appalti nel Dlgs 50/2016 (Codice del contratt...
 

Similar to GDPR 2018 - Il nuovo Regolamento Privacy Europeo

La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
M2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
M2 Informatica
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
Eurosystem S.p.A.
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
Marco Turolla
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
mobi-TECH
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
Colin & Partners Srl
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
Maurilio Savoldi
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
Daniele Fittabile
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Maurizio Taglioretti
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
Roberto Stefanetti
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
M2 Informatica
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
SMAU
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
Adalberto Casalboni
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
SMAU
 

Similar to GDPR 2018 - Il nuovo Regolamento Privacy Europeo (20)

La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 

More from M2 Informatica

Come gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con OpenmanagerCome gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con Openmanager
M2 Informatica
 
Fatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'usoFatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'uso
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
M2 Informatica
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
M2 Informatica
 
Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”
M2 Informatica
 
The Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices PortfolioThe Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices Portfolio
M2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 

More from M2 Informatica (10)

Come gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con OpenmanagerCome gestire il flusso di Fatturazione Elettronica con Openmanager
Come gestire il flusso di Fatturazione Elettronica con Openmanager
 
Fatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'usoFatturazione Elettronica - Istruzioni per l'uso
Fatturazione Elettronica - Istruzioni per l'uso
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”Associazione HiFORM: interventi formativi “su misura”
Associazione HiFORM: interventi formativi “su misura”
 
The Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices PortfolioThe Fujitsu Client Computing Devices Portfolio
The Fujitsu Client Computing Devices Portfolio
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 

GDPR 2018 - Il nuovo Regolamento Privacy Europeo

  • 1. Federica Savio GDPR Il nuovo Regolamento Privacy Europeo Che cosa cambia e come prepararsi al 25 maggio 2018
  • 2. GDPR – Regolamento UE 2016/679 • Entrato in vigore il 24 maggio 2016 • Direttamente applicabile in tutti i Paesi Membri dal 25 Maggio 2018 • Abroga la direttiva 95/46/CE recepita in Italia dal D.Lgs. 196/2003 Qual è il destino del Codice della Privacy e dei Provvedimenti del Garante della Privacy?
  • 3. GDPR – Finalità • Rispondere alle sfide in materia di protezione dei dati personali poste da evoluzione tecnologica e dallo sviluppo dell’economia digitale • Assicurare la tutela dei diritti delle persone fisiche nei Paesi Membri • Realizzare la libera circolazione dei dati personali nell’ UE
  • 4. GDPR – ambito di applicazione materiale Trattamenti interamente o parzialmente automatizzati di dati personali o trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi Esclusioni: • Trattamenti effettuati da persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico • Trattamenti effettuati dalle autorità competenti nel perseguimento di reati
  • 5. GDPR – ambito di applicazione territoriale Trattamenti effettuati nell’ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile stabilito nell’UE, indipendentemente dal fatto che il trattamento sia effettuato nell’UE Trattamenti di dati personali di interessati che si trovano nell’UE effettuati da parte di un titolare o responsabile non stabilito nell’UE se le attività riguardano: • Offerta di beni o servizi a interessati che si trovano nell’UE • Monitoraggio di comportamenti di interessati che abbiano luogo nell’UE
  • 6. I 3 pilastri del GDPR 1 - ACCOUNTABILITY GDPR 3 – VALUTAZIONE DEL RISCHIO 2 – VALUTAZIONE D’IMPATTO Necessità di aggiornare l’intero sistema aziendale di governo dei dati
  • 7. ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
  • 8. ACCOUNTABILITY DA FORMA A SOSTANZA • Attuazione principi protezione dei dati «by design» (dalla progettazione) , «by default» (come impostazione predefinita) e trasparenza • Scelta e verifica conformità dei Responsabili • Valutazioni di impatto sulla protezione dei dati • Attenzione a condizioni di adeguatezza per il trasferimento dei dati verso paesi terzi
  • 9. Valutazione di impatto (DPIA) Richiesta dal Regolamento quando un trattamento, in particolare se prevede l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, diventa strumento per garantire il rispetto del principio di accountability, poiché anche non necessità di DPIA va giustificata per iscritto. Linee Guida WP29, criteri di riferimento DPIA probabilmente necessaria • Valutazioni della persona e profilazione • Decisioni automatizzate con effetti giuridici significativi (es. esclusione benefici) • Attività di monitoraggio sistematico (es. sorveglianza sistematica in area pubblica) • Dati sensibili o di natura estremamente personale (opinioni politiche, condanne penali, cartelle cliniche) • Trattamento di dati su larga scala • Combinazione o raffronto di insiemi di dati (es. dati trattati da titolari distinti) • Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, pazienti) • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche (es. riconoscimento del volto) • Quei trattamenti che impediscono agli interessati di esercitare un diritto (es. screening clienti banca per accesso a finanziamento)
  • 10. GDPR – cosa cambia • Nuovi principi - accountability, trasparenza, privacy by design, by default… • Nuove figure – Data Protection Officer (DPO), Rappresentante • Nuovi diritti – diritto di accesso ai dati e rettifica degli stessi, limitazione o opposizione al trattamento, diritto all’oblio, diritto alla portabilità dei dati e diritto al risarcimento
  • 11. GDPR – DPO Il Data Protection Officer ha il compito di analizzare, valutare e disciplinare la gestione del trattamento. Punto di contatto per interessato e autorità di controllo. Requisiti: approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e procedure che caratterizzano lo specifico settore di riferimento. Dipendente o risorsa esterna, riferisce direttamente al vertice gerarchico, riceve risorse necessarie, no istruzioni per l’esecuzione dei compiti, no conflitto di interesse. La nomina è obbligatoria: - Trattamento effettuato da autorità pubblica o organismo pubblico - Trattamenti che richiedono il monitoraggio regolare e sistematico su larga scala - Trattamento su larga scala di categorie particolari di dati (sensibili, genetici, biometrici o giudiziari)
  • 12. GDPR – cosa cambia – qualche esempio INFORMATIVA • Coincisa, trasparente (conservazione dati, nuovi diritti per gli interessati) e facilmente accessibile • All’ottenimento dei dati personali e comunque al massimo entro 1 mese, possibilmente in formato elettronico • Contenuti: dati di contatto Titolare, DPO; finalità e base giuridica del trattamento; legittimi interessi perseguiti; eventuali destinatari dei dati personali; trasferimenti a un paese terzo
  • 13. GDPR – cosa cambia – qualche esempio CONSENSO • Libero • Informato • Esplicito • Espresso mediante dichiarazione o azione inequivocabile • Dimostrabile • Chiaramente distinguibile • Revocabile • Non condizionabile MINORI – offerta diretta di servizi della società dell’informazione - 16 anni
  • 14. GDPR – cosa cambia – qualche esempio REGISTRI DEL TRATTAMENTO Obbligatori per imprese o organizzazioni con più di 250 dipendenti, il Garante raccomanda a tutti i Titolari di dotarsene LEGITTIMO INTERESSE Base giuridica del trattamento dei dati, anche senza consenso, purché bilanciati diritti titolare e interessato -> valutazione a carico del Titolare Esempi: marketing diretto, verifica dell’età, conservazione mail, ripresa per fini sicurezza in casi grave pericolo
  • 15. GDPR – Sanzioni Fino a 10,000,000 € o fino al 2%fatturato mondiale annuo se sup - Violazione obblighi del titolare o del responsabile del trattamento Fino a 20,000,000 € o fino al 4%fatturato mondiale annuo se sup - Violazione dei principi, comprese condizioni relative al consenso - Violazione diritti degli interessati - Trasferimento dati non a norma in un paese terzo - Inosservanza di un ordine dell’autorità di controllo
  • 16. GDPR – Cosa fare per adeguarsi?
  • 17. GDPR – cosa fare per adeguarsi GDPR
  • 18. GDPR – cosa fare per adeguarsi Raccolta di informazioni – sullo stato di adeguamento rif. Al Codice e al Regolamento Privacy, tipo di attività, strumenti aziendali, sistema informatico… Stesura del piano privacy – obiettivi, fasi, tempi, responsabilità, budget e approvazione delle funzioni deputate Interviste approfondite e analisi dei documenti – per poter svolgere le fasi successive di adeguamento al Regolamento e implementazione del sistema privacy Analisi del contesto, delle esigenze , dei rischi e delle misure in essere o da implementare
  • 19. GDPR – cosa fare per adeguarsi Adeguamento al GDPR e implementazione del sistema di gestione della privacy – stesura di documenti, modelli, regolamenti e procedure; condivisione con le risorse aziendali e successiva applicazione Adeguamento del sistema informatico – implementazione dei sistemi per arginare i rischi Formazione del personale – corsi collettivi o specialistici anche in base alle attività da gestire Gestione operativa – il sistema viene avviato
  • 20. GDPR – cosa fare per adeguarsi Verifiche o Audit dei processi aziendali Dopo un adeguato lasso di tempo, avente come criterio l’applicazione del GDPR e il sistema privacy implementato
  • 21. GDPR – cosa fare per adeguarsi Mantenimento e miglioramento del sistema Adeguamento alle variazioni normative Proseguimento e continuità delle attività di audit e di formazione
  • 22. GDPR – un modello adatto a tutti? GDPR SI, ma… - modello standard adatto ad aziende e studi professionali con trattamenti di dati più semplificati - modello personalizzato, con approccio progettuale Aziende con trattamento dati e attività a rischio, realtà più complesse, DPO….
  • 23. Giorgio Montù GDPR Sicurezza Informatica Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari
  • 24. 2017 – Allarme rosso 1° semestre del 2017 : il peggiore di sempre nell’evoluzione delle minacce «cyber» e relativi impatti, sia dal punto di vista quantitativo che qualitativo. Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in Italia
  • 25. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 26. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 27. Alcuni dei principali attacchi a livello globale 2016 -2017 Attacchi a qualcuno che conosciamo bene
  • 28. Alcuni dei principali attacchi a livello globale 2016 -2017 I cyber criminali si sono avvalsi di un nome riconosciuto come quello di Vodafone per spingere gli utenti ad aprire un link che, tramite un exploit per Microsoft Explorer, permetteva il download e l’esecuzione di programmi arbitrari dal web. Anche in questo caso l’attacco è stato utilizzato per la diffusione del ransomware CryptoLocker. In altri casi simili sono stati utilizzati altri marchi conosciuti per l’invio di email di spam apparentemente lecite. Tra le campagne principali quelle che fanno riferimento a “Cartella esattoriale Equitalia”, “Pacco DHL in consegna”, “Fattura Telecom»
  • 29. Alcuni dei principali attacchi a livello globale 2016 -2017
  • 30. Più vicino a noi: UNICREDIT Alcuni dei principali attacchi a livello globale 2016 -2017
  • 31. Ancora più vicino: MAN IN THE MAIL Alcuni dei principali attacchi a livello globale 2016 -2017 Da Striscia la Notizia: http://www.striscialanotizia.mediaset.it/video/man-in-the-email_23253.shtml
  • 32. In mezzo a noi Alcuni dei principali attacchi a livello globale 2016 -2017 In questa sala …………
  • 33. D.Lgs. 196/2003 – ancora in vigore Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza - Gestione profili di autorizzazione e credenziali di autenticazione - Sistema antivirus e antispam - Aggiornamento periodico (almeno semestrale) dei sistemi - Backup dei dati con cadenza almeno settimanale - Istruzioni tecnico-organizzative per gestione e salvataggio datiò - Definizione di procedure per garantire il ripristino dell’ accesso ai dati - DPSS (successivamente abrogato) - Successivo provvedimento LOG Amministratori di sistema (12/2009)
  • 34. Misure minime di sicurezza Cosa succede dal 25 maggio 2018? Il Garante italiano deve ancora fornire linee guida relative all’applicazione delle misure di sicurezza ed eventualmente introdurre nuove misure minime di sicurezza, o mantenere le attuali… Cambierà certamente la modalità di applicazione…
  • 35. ACCOUNTABILITY • Il Regolamento stabilisce la responsabilizzazione (accountability) del Titolare del trattamento • Il Titolare ha l’obbligo di dimostrarela compliance alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza fisica e informatica dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche o audit…) adeguate, nonché un apparato documentale appropriato • Adesione a codici di condotta o meccanismi di certificazione
  • 36. GDPR – Sicurezza del trattamento Art. 5 – Principi applicabili al trattamento dei dati personali 1. I dati personali sono: … F) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
  • 37. GDPR – Sicurezza del trattamento Cosa fare Analisi dei rischi Deve tenere conto di: - Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali trasmessi, conservati o elaborati - Eventuali pregiudizi derivati: danni fisici, materiali o immateriali - Elevatezza del rischio Il rischio va valutato in base alla sussistenza, frequenza, gravità
  • 38. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche adeguate Effettivamente in grado di contrastare: - distruzione - perdita - modifica - divulgazione non autorizzata - accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
  • 39. GDPR – Sicurezza del trattamento Art. 32 – Sicurezza del trattamento Tenendo conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, prevede: - misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio - pseudonimizzazione e cifratura dei dati (se del caso) - assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi - capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati - procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
  • 40. GDPR – Sicurezza del trattamento Cosa fare Contromisure tecniche minime vs adeguate – qualche esempio - per contrastare malware tipo Cryptolocker: Antivirus e antispam / email gateway o specifici firewall avanzati - Sicurezza ripristino dei dati: backup settimanale su unico supporto / backup giornaliero + settimanale + mensile su più supporti, anche delocalizzati o in cloud - Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi avanzati e di «controllo» della navigazione Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN, utilizzo password complesse e cambio a intervalli più ravvicinati, disattivazione degli account non piu’ utilizzati , affinamento delle misure tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati (business continuity), etc. ….
  • 41. GDPR – Sicurezza del trattamento Cosa fare Contromisure organizzative adeguate (obbligatorie o consigliate dai legislatori) - Formazione obbligatoria degli addetti al trattamento dei dati - Regolamentazione dell’ utilizzo sistemi informatici/telematici - Adozione di procedure per la verifica dell’adeguatezza delle misure tecniche adottate - Adesione a codici di condotta o certificazioni specifiche (p.e. ISO 27001)
  • 42. GDPR – Sicurezza del trattamento Art. 33 – Data Breach In caso di violazione dei dati personali il Titolare notifica la violazione all’autorità Garante entro 72 ore e deve - Descrivere la natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati, nonché le categorie e il numero approssimativo delle registrazioni - Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 43. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Quando la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare comunica la violazione all’interessato senza giustificato ritardo: - Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali - Comunicando il nome e dati di contatto del responsabile della protezione dei dati o altro punto di contatto - Descrivere le probabili conseguenze della violazione dei dati personali - Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi
  • 44. GDPR – Sicurezza del trattamento Art. 34 – Data Breach Non è richiesta la comunicazione della violazione all’interessato se: - Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed erano state applicate ai dati personali oggetto di violazione, in particolare la cifratura - Il Titolare ha successivamente adottato misure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati - La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede tramite comunicazione pubblica